اگر از کاربران آیفون ویا مک بوک هستید بهتر است که به این هشدار توجه کنید.

مشخص شده که صرفا بازدید از یک وبسایت نه یک وبسایت مخرب بلکه یک وبسایت مطمئن که ناخواسته تبلیغات مخربی را در بر دارند با استفاده از مرورگر Safari می تواند به هکر ها از راه دور این امکان رابدهد که به دوربین ویا میکروفون دستگاه شما دسترسی پیدا کنند همچنین موقعیت شما را ردیابی کنند ودر مواردی حتی به پسورد های ذخیره شده شما دسترسی پیدا کنند.

شرکت اپل به تازگی پاداشی ۷۵.۰۰۰ دلاری را به هکری به نام Ryan Pickren پرداخت کرده که توانسته بود این روش هک را در عمل اجرا کند و به این شرکت در پچ کردن هفت مورد آسیب پذیری قبل از اینکه فرد دیگری سو استفاده کند کمک کند.رفع ایراد های انجام شده در قالب بروزرسانی های ۱۳.۰.۵ و ۱۳.۱ برای Safari در دسترس قرار گرفت.

سه مورد از این آسیب پذیری ها در صورتیکه با هم ادغام شوند می توانند این امکان را به یک وبسایت بدهند تا با جازدن به عنوان یک وبسایت مجاز برای ویدیو کنفرانس به دوربین ومیکروفون دستگاه دسترسی پیدا کنند.

مرورگر Safari دسترسی به مجوز های به خصوص مثل دوربین میکروفون موقعیت مکانی و غیره را بصورت per-website فراهم میکند این کار رابرای وبسایت های مشخص مثل Skype راحت میکند تا بدون اینکه نیاز باشد هر بار از کاربر اجازه بگیرند دوربین را فعال کنند.در iOS استثنا هایی وجود دارد.در حالیکه اپلیکیشن های third-party به اجازه مستقیم کاربر برای دسترسی به دوربین نیاز دارند،Safari میتواند بدون نیاز به مجوز به دوربین و گالری عکس ها دسترسی داشته باشد.در واقع این دسترسی از طریق اکسپلویت شدن چندین آسیب پذیری تلفیق شده در نحوه تجزیه وتحلیل URL schemes ورسیدگی به تنظیمات امنیتی بصورت per-website توسط مرورگر بدست می آید.

نکته مهم دیگر این است که اسکیم URL بطور کلی نادیده گرفته میشود واین مشکل ساز خواهد بود چون بعضی از اسکیم ها اصلا حاوی hostname معنی داری نیستند.در نتیجه یک وبسایت مثل https://example.com  و نمونه مخرب آن fake://example.com در نهایت میتوانند مجوز های یکسان داشته باشند.بنابراین با سو استفاده از تجزیه تحلیل ضعیف hostnameتوسط Safari این امکان وجود داشت تا با استفاده از یک :file   به عنوان مثال file:///path/to/file/index.html مرورگر را با استفاده از جاوااسکریپت به تغییر دادن اسم دامین فریب داد.در ادامه حتی سرقت پسورد های plaintext از این طریق امکان پذیر بود.

اگر از کاربران Safari هستید بشدت توصیه میشود که مرورگر را بروز نگه دارید.